【2024年 秋】郵便料金値上げによるコストの増加を回避するには?
ゼロトラスト(Zero Trust)とは、すべてのユーザーのアクセスを信用せず、文字通り「すべてを疑う」セキュリティコンセプトです。
「働き方改革にともなうテレワークの普及」「業務システムのクラウドシフト」など、企業を取り巻くビジネス環境は激変しました。企業の情報資産を守るための情報セキュリティの考え方も、大きな変化を迫られています。この記事では、クラウドシフトやテレワーク対応に欠かせない「ゼロトラスト」の考え方について、わかりやすく解説します。
新型コロナウイルスの影響を受け、テレワークが普及したことで、「いつでもどこでも仕事ができる」時代が到来しました。しかし、従業員がオフィスに集まらず分散して仕事をするようになった結果、従来のセキュリティの考え方が通用しなくなっています。従来のセキュリティは、「境界型防御モデル」と呼ばれています。境界型防御モデルとは、ネットワークの内と外を区別し、その境界点をファイアウォールなどで防御して、不正アクセスや情報漏えいを防ぐ考え方です。しかし、テレワークによりオフィス以外で働く社員が急増した結果、ネットワークの内と外の境界が曖昧になりました。業務システムがクラウド化され、オフィス以外から容易にアクセスできる企業も多く、「ネットワークの境界点が多すぎて、セキュリティ対策が追いつかない」状態です。そこで、ネットワークの内と外という基準ではなく、すべてのアクセスの認証認可を行う「ゼロトラスト」という考え方が生まれました。ゼロトラストの考え方に基づくネットワークを、「ゼロトラストネットワーク(ZTN)」といいます。
ゼロトラストネットワークの特徴は、次の4点です。
ゼロトラストネットワークでは、オフィスからのアクセスであれ、自宅からのアクセスであれ、すべてのアクセスを信頼しません。業務システムへのアクセスをあらかじめ制限しつつ、すべてのアクセスの認証認可をそのつど行います。そのため、攻撃者が身動きを取りにくく、強固なセキュリティが実現可能です。ゼロトラストは、ネットワークの境界が曖昧化し、「いつでもどこでも仕事ができる」時代に最適なセキュリティコンセプトです。ゼロトラストは、2010年にアメリカの調査会社が考案して以来、大きな注目を集めています。
ゼロトラストネットワークには3つのメリットがあります。
ゼロトラストネットワークでは、すべてのアクセスを疑い、認証認可を行います。例えば、ファイルサーバーの資料にアクセスする場合、まず認証によって適切なユーザーかどうかを確認し、アクセスの許可や権限の制限を行います。
従来の境界型防御モデルには、仮想プライベートネットワーク(VPN)や仮想デスクトップ(VDI)で多層防御を行っていても、一度境界点を突破されたら攻撃者のやりたい放題という弱みがあります。しかし、ゼロトラストネットワークなら、そのつどアクセスの信頼度をスコア化し認証認可を行うため、攻撃者は自由に動けません。テレワークが普及し、ネットワークの境界点が曖昧化する今、内外のセキュリティリスクに強いゼロトラストの導入が必要です。
クラウドシフトを進めたいが、セキュリティリスクが気になる方も多いでしょう。特に、どこからでもアクセス可能な「パブリッククラウド」を利用すると、侵入経路が増加し、より強固なセキュリティ対策が必要になります。しかし、ネットワークの侵入経路に関係なく、すべてのアクセスの認証認可を行うゼロトラストなら、クラウドシフトにともなうセキュリティリスクを解決できます。
新型コロナウイルス対策の一環として、テレワークを導入する企業が急増しました。東京都の調べによると、緊急事態宣言の発令もあり、都内企業(従業員30人以上)のテレワーク導入率は57.1%に達しています。[注1]テレワーク環境のセキュリティに最適なのが、ネットワークの内と外を問わないゼロトラストネットワークです。今後もテレワーク環境が続くことを視野に入れると、従来の境界型防御モデルからゼロトラストへの移行は必要不可欠です。
ゼロトラストに移行するうえで、重要なポイントが3つあります。
すべてのアクセスを疑い、たとえ社員のアクセスであっても、常に認証認可を行うのが、ゼロトラストの基本的な考え方です。そのためのセキュリティツールとして、多くの企業が「IAM(Identity and Access Management)」を採用しています。IAMとは、従来のユーザー認証に加えて、デバイスの状態や位置情報、使用中のアプリケーションなども総合的に分析し、適切なユーザーの認証認可を行うツールです。また、複数のクラウドサービスを利用している場合は、サービスを横断してユーザー認証を行える「IDaaS(Identity as a Service)」も使われています。
膨大なアクセスの1つひとつに認証認可を求めると、セキュリティコストが増大します。そこで、ゼロトラストへ移行するときは、「SSO(Single Sign On)」を使い、あらかじめ業務システムへの入り口を絞り込むのが一般的です。SSOとは、専用のポータルに本人確認用の認証情報を登録し、ポータルを通じて全システムにアクセスできる仕組みです。ポータルを経由したアクセスのみを監視すればよいため、情報セキュリティにかかる負担も軽減します。
ゼロトラストネットワークでは、アクセスの認証認可を行うだけでなく、アクセスログの異常検知を行います。エンドポイント(端末)に「EDR(Endpoint Detection and Response)」を導入し、常時モニタリングを行いましょう。また、エンドポイントをマルウェアから守る「EPP(Endpoint Protection Platform)」もセットで導入すれば、さらにセキュリティ効果が高まります。
従来の「境界型防御モデル」では、大切な情報資産を守りきれなくなっています。そこで、すべてのアクセスを疑い、認証認可を行う「ゼロトラスト」の考え方を取り入れましょう。ゼロトラストのポイントは、以下の3点です。
ゼロトラストに移行することで、内外のセキュリティリスクに強くなり、クラウドシフトやテレワークへの対応も進みます。
[注1] 東京都:テレワーク導入率調査結果をお知らせします!(第1501報)
https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2021/01/22/17.html
「Digital Workforce」は、働き方改革のプラットフォームとして従業員やIT部門の皆様の生産性・セキュリティを向上する機能を取り揃えたサービスです。
「ポータル」「認証/SSO」「ID管理」「API管理」「セキュアブラウザ」の5つの機能を組み合わせ、安全で快適なテレワーク体制を提供します。
執筆者情報:
新里 亮太(しんざと りょうた)
株式会社ユニリタ クラウドビジネス事業本部
ITマネジメントイノベーション部 プロモーションフォースグループ リーダ
兼 DXアクセラレーション部
働き方改革基盤「Digital Workforce」のセールス・プロモーション活動で培った経験をもとに、企業の生産性向上・セキュリティ対策について情報発信しています。
登壇実績
・日経産業新聞フォーラム
「デジタルワークプレイスで実現する生産性と従業員満足度の向上」
・ITトレンドEXPO 2021 summer
「テレワークを支えるIT基盤 ~ポータル、SSO、ID管理でテレワーク推進〜」
Rankingランキング
New arrival新着
Keywordキーワード
